我正在一个Intranet站点上工作,需要选择两种方式:1.当用户可以将密码更改为他喜欢的任何单词时禁用选项,例如pass123。这样会有一个按钮……
这取决于您希望网站的安全性。
如果您允许他们更改自己的密码,那么我建议您使用某种“密码强度”视觉帮助来帮助他们选择一个强密码。然后可能只有强密码。
只允许他们将密码更改为从复杂算法生成的另一个密码可能会导致他们不记得它,但是这样你总是可以依靠强密码。通过电子邮件向他们发送密码意味着他们不必在某处写下来,然后即使将其写下来,也会将其安全地隐藏在他们的电子邮件登录后面。
我说如果你只给用户一个生成新密码的按钮就好了,那么他不能在每个网站上使用相同的密码。
如果您有密码强度策略,请在用户选择新密码时在表单上清楚说明,如果密码不够强则不接受(选项1)。
如果它是Intranet站点,则通常应通过LDAP处理身份验证,而不是显式密码输入。